近年,大连理工大学开始探索对信息系统进行全生命周期内的网络安全管理,目的就是从源头上主动发现信息系统存在的安全问题,尽早地主动排除隐患。在《网络安全法》等法律法规框架内,与网络安全等级保护制度结合,按照学校信息化建设及网络安全建设相关制度要求,在信息系统项目生存期内,全面开展网络信息安全建设与管理。信息系统的全生命周期包括信息系统的立项、采购、建设、验收、运维以及关闭等各环节,通过在各环节中都加入网络安全建设,确保信息系统自身可达到基本安全要求。大连理工大学已经颁布及正在制定的网络安全相关管理制度见表1,这是信息系统安全建设的基础。
学校信息化建设管理办法明确要求校内信息系统建设必须要先立项,在信息系统立项申请环节中,要求按照网络安全等级保护国家标准,由建设单位对信息系统进行安全定级,未来系统的网络安全建设必须以此定级为基本准则。立项中的项目预算要明确包含网络安全建设部分,如二级系统的等保测评预算、项目的网络安全检测预算等。
从源头上管理应用系统
在学校网络信息技术安全管理办法中,规定各管理信息系统建设必须采用正规厂商建设、走学校标准采购流程,不得由个人承担建设任务,避免个人开发的随意性带来的安全隐患,也可以降低后续安全运维失控的风险。在采购文件当中(包括招标文件及采购合同)确定了厂商的安全建设要求,包括:对于信息系统自身的安全问题,在系统存活期内,由厂商完全负责并且必须在规定时限内解决;项目交付验收前,厂商需提供第三方网络安全机构对项目的安全检测报告,项目不得存在高危漏洞。在信息化核心项目中还对厂商的软件开发能力、项目管理能力以及人员方面提出了要求,以保证项目安全建设的顺利进行。在项目建设方案的技术指标中对项目安全建设提出了具体要求,包括安全开发框架的使用、数据安全、安全事件响应及修复时间、权限管理、审计记录、备份机制等等。上述要求以校内信息系统建设方案模板、信息系统招标文件模板、信息系统采购合同模板等规范文档的形式确立,校内信息系统建设需根据各自项目的实际情况确定具体安全技术指标。
在信息系统建设各阶段也增加了安全方面的考虑。在需求分析阶段,主要是结合等保要求,确定建设方案中网络安全相关的具体需求、确定系统的安全基线要求,并开展等保定级备案工作。在设计、开发阶段,厂商需遵循软件安全开发原则,在测试阶段不仅要有功能测试,还要包含网络安全方面的测试,这方面技术难度较大,对高校信息部门、厂商要求都很高。一方面这几个阶段主要是厂商完成,但国内高教信息化的软件厂商能真正满足安全开发要求的并不多,而作为项目管理方的高校信息部门,能够胜任监督职能的也并不多,所以如何建立适用于高校信息化建设的软件安全开发管理模式及技术规范,一直都是各高校探索的目标。
在信息系统部署环节中,主要是按照学校提供的技术文档模板,确定系统各项配置及安全策略,厂商按要求填写,然后双方进行审核修正。目前技术文档主要包括:硬件配置,主要是服务器硬件资源配置、网络配置、负载均衡配置等,需精确计算硬件资源,确定网络拓扑,明确系统运行所消耗的主要硬件资源,如需负载均衡还需说明节点数量计算依据、负载均衡模式等。软件环境配置,包括操作系统配置、域名配置、服务软件及版本、软件安装路径、服务关键进程运行情况、日志及审计记录管理、后台管理员账户情况、ssl使用情况等。网络安全配置,主要有服务端口情况、访问控制策略、杀毒及Web应用防护策略、堡垒机配置,对于不同用途服务器(前端、后台、数据库等)、不同类别服务器(开发、测试、生产等)、不同建设阶段(测试、试运行、正式上线等)均要配置不同的安全策略,以满足相应的安全要求。数据库配置,有数据库类型及版本、用户权限及密码配置、备份策略,重要的信息系统还需要提供库、表信息等。
需要关注的几个问题
上线前
在信息化项目验收上线前,厂商需按照招标文件及合同的要求提供项目的安全检测报告,该报告作为验收的必要文档,缺少或不符合要求不得验收。信息部门还要进行二次内部检测,对于重要的核心信息系统还要由信息部门采购第三方网络安全检测服务,进行三次检测。然后信息部门将各次检测报告结合,综合评估项目的网络安全情况,网络安全评估结果作为验收的必选项之一,不通过则不能验收或验收不合格,不得将安全问题作为遗留问题记入验收备忘后续解决。上述要求在相关管理制度中进行了规定,并具体落实到验收报告模板等标准文档中。
上线后
应用信息系统验收上线后就进入了日常运维阶段,运维工作首先要明确信息系统的管理员、厂商售后技术支持人员,与网络安全管理员、数据中心管理员共同完成信息系统的安全运维工作,建立运维人员的更新机制,及时登记人员变化情况,确保出现安全问题时能够及时联系到管理人员。日常运维中主要参照建设阶段形成的各类文档进行,结合堡垒机等运维工具,完成日常巡检及故障处理,并为网络安全事件的发现提供线索。堡垒机是信息系统安全运维中至关重要的设施之一,所有运维人员都必须通过堡垒机完成服务器的远程操作,一方面提高服务器的安全性,另一方面,也给运维操作提供了完善的审计记录,以备安全事件处理及故障排查使用。
安全运维
网络安全事件的处理是安全运维中很重要的一项工作,也是目前高校普遍着手建设的内容,包括网络安全事件应急预案、处置流程等管理制度的制定,网络安全事件整改通知、处置报告、整改报告、安全事件台帐等管理文档的编制,以及网络完全事件处置演练。特别要重视演练环节,通过演练才能检验各项制度的合理性和可操作性,才能切实提高管理人员的实际处理能力。
应用系统升级
运维中与安全相关的还有应用系统升级,重大升级后应对系统进行重新检测和评估,升级方案中应详细记录安全策略的变化,并在升级后尽快恢复。信息系统运维阶段通常还会遇到数据共享的问题,需要严格按照数据资源管理制度进行,确保相关数据安全,特别是涉及到个人信息的数据安全。对于等保二级以上信息系统,在正式上线运行后,应按照等保要求尽快开展测评工作,根据测评结果进行安全整改,并在系统运维阶段定期进行复测。
关闭期
在信息系统进入生命末期准备关闭时,同样也有网络安全问题需要关注,首先就是数据的安全问题,包括信息系统产生和使用的各类数据以及访问日志等系统数据,应结合系统相关业务要求以及等保定级标准的要求,制定数据处置方案,妥善处理残留数据的销毁或留存,以及相应访问权限的设置。同时要及时关闭并回收服务器等资源,避免僵尸系统的形成。及时向等保备案主管部门注销系统登记,做好信息系统关闭的记录,以备相关单位查证。表2中列出了信息系统各阶段中,安全建设的参与人员、主要任务及相关规范文档。
以上就是大连理工大学近2~3年在信息系统全生命周期安全管理的一点探索,目前各类管理制度基本开始施行,各项规范文档还在不断完善中。高校网络安全可以说与信息化建设的各方面都息息相关,只有将安全建设融入到信息化建设的每个环节,才能最大限度地降低安全风险,有效地提高网络安全防护水平。(责编:王左利)
(作者单位为大连理工大学网络与信息化中心)
本文刊载于《中国教育网络》2018年4月刊
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。